'공인인증서'에 해당되는 글 4건

  1. 2015.05.27 ActiveX 퇴출 개선방안 발표
  2. 2013.03.14 스마트폰 공인인증서 탈취 악성 앱 발견
  3. 2012.07.09 주민번호 수집제한 주요내용
2015.05.27 20:00

ActiveX 퇴출 개선방안 발표

150402 조간 (보도) 액티브x 개선방안 발표.pdf



Trackback 0 Comment 0
2013.03.14 18:36

스마트폰 공인인증서 탈취 악성 앱 발견

[전체요약]

스마트폰 사용자의 호기심을 자극하는 내용으로 문자 메시지를 발송하고, 수신된 문자 메시지에 포함된 링크를 스마트폰 사용자가 설치하도록 유도하는 기존의 스미싱 악성앱과 동작방식이 동일한 악성코드가 지속적으로 발견되고 있다.

 
이번에 발견된 악성코드는 이전의 문자 메시지를 탈취하는 기능에 사진과 메모도 탈취 할 수 있는 기능이 추가되어 사생활의 침해가 우려된다. 그 기능뿐만 아니라 모바일 공인인증서를 탈취 하는 기능도 추가되어 기존의 소액결제피해를 넘어선 금융 피해를 일으 킬 수 있으므로 사용자의 각별한 주의가 필요하다.

 

[주요증상]

 

- 문자 메시지 탈취 및 사용자의 전화번호 탈취

 

- 공인인증서, 메모, 사진의 탈취

 

- 전화 착신 및 발신 차단

 

[분석정보]

 

1. Android/Trojan-SMS.Fraud-SMS-Stealer.dc

 

파일명 : pftp0312.apk

 

[그림 1] pftp0312.apk의 아이콘

 

A. 감염 경로


Android/Trojan-SMS.Fraud-SMS-Stealer.dc는 스미싱 문자 메시지의 링크를 통하여 감염된다.

 

B. 감염 증상


1) Android/Trojan-SMS.Fraud-SMS-Stealer.dc의 어플리케이션의 권한은 아래의 그림과 같다.
 


[그림 2] pftp0312.apk 어플리케이션의 권한

 

 

2) 해당 악성 앱은 부팅이 되었는지 감지하여 만약 재부팅이 되었을 때 서비스를 자동으로 동작시킨다.
 


[그림 3] 부팅감지

 

 

3) 해당 악성 앱은 처음 실행하게 되면 별도의 UI가 보여지지 않으며 곧바로 종료되는 것처럼 보인다. 그러나 백그라

운드로 악성 프로세서가 감염된 사용자의 스마트폰 전화번호를 전송하게 되며 감염되었음을 등록시킨다.
 


[그림 4] 전화번호 전송 및 등록

 

 

4) 해당 악성 앱은 동작할 때도 따로 UI가 존재하지 않으며 서비스로만 동작하고 있다는 것을 확인 할 수 있다.
 


[그림 5] 서비스로 동작

 

 

5) 해당 악성 앱이 처음 실행될 때 스마트폰에 존재하고 있는 공인인증서와 메모를 zip파일로 만들 수 있으며 사진과

 같이 특정 서버에 전송한다. 서버에 저장 될 때는 [전화번호_IMEI]의 디렉토리가 생성되며 해당 디렉토리에 각각

NPKI, MEMO, DCIM의 하위 디렉토리명으로 저장된다.
 


[그림 6] 공인인증서, 메모, 사진 탈취

 


[그림 7] 탈취된 정보

 

 

6) 해당 악성 앱은 서비스로 동작할 때 3가지의 리시버를 등록시키며 리시버의 종류는 다음과 같다.


문자 메시지 수신 리시버

전화 착신 리시버

전화 발신 리시버
 


[그림 8] 리시버 설치

 

 

7) 문자 메시지 수신 리시버는 abortBroadcast를 이용하여 문자 메시지가 왔다는 사실을 차단하여 사용자는 문자 메시지가 도착한 것을 알 수 없다.
 


[그림 9] 문자 메시지 차단

 

 

8) 문자 메시지 수신 리시버는 문자 메시지의 내용들을 유출시킨다. 유출시킬 때 ‘||’기호를 구분자로 할 것으로 추정

되며 순서대로 [사용자의 스마트폰 전화번호||문자 메시지 내용||발신처||문자 메시지를 받은 시간]으로 만들어 보내

진다.
 


[그림 10] 문자 메시지 유출

 

 

9) 문자 메시지 수신 리시버는 assets에 url.txt라는 문서파일이 존재하며 여기에 있는 URL을 가지고 보내도록 되어

있다. 이 부분으로 인하여 URL.txt만 변경시켜주면 문자 메시지를 탈취하는 서버의 URL을 변경할 수 있다.
 


[그림 11] URL.txt 파싱

 

 

10) 전화 착신 리시버는 전화가 착신되었을 때 mobile.txt에 저장된 전화번호나 15가 포함된 전화번호인지 체크하며

 조건이 일치할 경우에는 전화 착신을 차단 시켜서 사용자가 전화가 왔다는 사실을 알 수 없도록 한다.
 


[그림 12] 전화 착신 차단

 

 

11) 전화 발신 리시버는 사용자가 전화를 걸게 될 때 mobile.txt에 저장된 전화번호나 15가 포함된 전화번호인지 체크

하며 조건이 일치할 경우에는 전화 발신을 차단 시켜서 사용자가 해당 전화번호에 연결 할 수 없게 한다.
 


[그림 13] 전화 발신 차단

 

 

12) 해당 악성 앱이 공인인증서, 메모, 사진의 유출을 시도하는 URL의 IP위치는 미국으로, 문자 메시지 유출을 시도하

는 URL의 IP위치는 태국으로 확인된다.
 


[그림 14] 공인인증서, 메모, 사진 등의 탈취 위치

 


[그림 15] 문자 메시지 탈취 위치



출처 : 하우리



Trackback 0 Comment 0
2012.07.09 14:11

주민번호 수집제한 주요내용

120614_주민번호_사용_제한_정책_안내서.pdf


내달 18일부터 포털ㆍ게임사 등 적용
본인 확인 기관 지정된 경우는 예외
정부, 주민번호 대체 수단 확대 추진
 

 
오는 8월 18일부터는 개정 정보통신망법 시행으로 포털, 게임 등 정보통신제공사업자들은 주민번호를 수집할 수 없게 됩니다. 그동안 인터넷 사업자들은 회원 가입뿐만 아니라 본인 확인, 성인 인증, 결제 등 다양한 분야에서 주민등록 번호를 활용해 왔습니다. 주민번호 사용이 제한됨에 따라 대책 마련이 시급해진 상황입니다. 주민번호 수집 제한 정책의 구체적인 내용과 대책에 대해 알아보겠습니다.
 
◇개정 정보통신망법 주요 내용=개정 정보통신망법에 따르면 2014년까지 인터넷에서 주민번호를 수집하거나 이용할 수 없습니다. 정부는 3단계에 걸쳐 주민번호 사용을 제한할 계획입니다. 1단계인 올해에는 일일 방문자 1만명 이상 웹사이트에 이 제도가 우선 적용되고 2단계인 2013년에는 모든 웹사이트가 주민번호를 수집하거나 이용할 수 없습니다. 2014년에는 영리 목적의 웹사이트 주민번호 수집과 이용을 완전 차단할 방침입니다.
 
정부는 주민번호 사용제한 제도의 정착을 위해 올해에는 주민번호전환지원센터를 통해 사업자 지원 활동을 펼칠 계획입니다. 2013년에는 영세 중소 사업자를 대상으로 무료 컨설팅을 실시하는 한편, 불법 주민번호 수집 웹사이트에 대한 신고 창구를 운영할 방침입니다. 2014년에는 상시 점검 태세를 갖추고 영리 웹사이트의 주민번호 DB 삭제 여부를 점검한다는 계획입니다.
 
주민번호의 수집 제한을 적용받지 않는 예외적인 경우도 있습니다. △본인 확인 기관으로 지정받은 경우 △법령에서 이용자의 주민등록번호 수집ㆍ이용을 허용하는 경우 △영업상 목적을 위해 이용자의 주민번호 수집ㆍ이용이 불가피한 정보통신서비스 제공자로서 방통위가 고시하는 경우에는 주민번호를 수집, 이용할 수 있습니다.
 
◇이런 경우 주민번호 사용 안돼= 주민번호 수집 제한 정책이 시행되면서 많은 정보통신 기업들이 혼란스러워하고 있습니다. 어떤 경우에 주민번호를 사용해도 되고, 어떤 경우가 금지 대상인지 불문명한 경우가 많기 때문입니다. 또한 그동안 편의상 주민번호를 사용해 오던 것을 하루아침에 바꾸려니 대안이 마땅치 않은 경우도 있습니다.
 
방통위는 법령에서 주민번호가 명시돼 있지 않지만 본인확인을 위해 주민번호가 필요하다고 보는 경우에도 대체 수단이 있는 경우에는 주민번호의 수집과 이용이 금지된다는 정책 방향을 세워놓고 있습니다.
 
예를 들어 셧다운제, 제한적 본인확인제, 법정대리인 동의 필요 등 법률에서 연령 및 본인 확인 등을 요구하는 경우입니다. 이 경우에도 방통위는 주민번호의 수집 및 이용이 불가능하며 아이핀, 공인인증서, 휴대폰 등 대체 수단을 통해 법률을 준수해야 한다는 입장입니다.
 
웹사이트 회원 가입시 사업자 필요에 의해 성명과 주민번호의 진위여부를 확인하는 실명인증 서비스의 경우에도 앞으로는 주민번호를 사용할 수 없습니다. 방통위는 개정 정보통신망법 시행 이후에는 주민번호를 통한 실명 인증 서비스는 불가능하며 성명과 이메일 등을 이용해 실명 확인 절차를 거칠 것을 권고하고 있습니다.
 
전자상거래 결제시 소비자 보호를 위해 주민번호를 저장하는 경우는 법령에 의해 앞으로도 가능합니다. 하지만 정부는 전자결제시 주빈번호 대체 수단을 이용한 인증결과값(CI등 암호화된 주민번호)을 저장하는 방안을 권고하고 있습니다. 마일리지, 포인트 등 사업자간 서비스 연계를 위해 주민번호가 필요했던 경우에도 앞으로는 주민번호를 사용할 수 없으며 앞으로는 아이핀, 공인인증서, 휴대폰 인증 등을 통해 암호화된 주민번호 파생값(CI:Connection Information)을 사용해야 합니다.
 
인터넷 회원의 전화 콜센터 이용 등 오프라인 대면시 이용자 식별을 위한 경우에는 `주민번호 수집ㆍ이용 최소화 종합대책'에 따라 관련 법령(개인정보보호법 등) 정비 전까지는 사용할 수 있습니다. 결제 서비스, 연체자 관리 등을 위해 금융 부문에서 주민번호를 사용하는 경우도 관련 법령 정비 전까지는 사용할 수 있습니다. 주민등록 등초본, 신분증 사본을 통해 본인을 확인하는 경우에는 본인 확인 즉시 파기 또는 주민번호 뒷자리를 가려서 저장해야 합니다.
 
◇주민번호 전환은 이렇게=법령에 의해 주민번호를 전환해야 하는 경우에는 4가지 절차를 걸쳐 전환하게 됩니다. 먼저, 주빈번호 전환 계획을 수립하고 주민번호 수집 목적 및 활용 현황을 분석합니다. 이후 법률요구사항, 시스템구조, 내외부 특정 서비스의 주민번호 활용, 제 3자 제공 등을 파악, 의사 결정을 내린 후 최종 전환을 추진하게 됩니다.
주민번호 전환 방법으로는 △주민번호 일괄 삭제 △주민번호 항목대체 △주민번호 대체 수단 도입 등 3가지 방법이 있습니다.
 
주민번호를 대체할 수 있는 방법은 3가지 정도로 요약할 수 있습니다. 가장 대표적인 것이 공인인증서를 통한 방법입니다. 이용자가 입력한 공인인증서 시리얼번호, 생년월일, 이름을 공인인증기관에 보내면 공인인증기관이 보유중인 인증서와 대조해 진위여부를 전송해주는 방식입니다.
 
휴대폰 인증은 이용자의 휴대폰 정보, 생년월일, 이름을 입력하도록 한 뒤 통신사에 이 정보를 보내면 통신사가 이용자에게 인증번호를 전송하고, 이용자가 인증번호를 입력했는지에 따라 본인 여부를 확인하는 방식입니다.
 
방통위는 본인확인 기관을 새로 지정하는 등 주민번호 대체 수단을 확대할 계획입니다. 방통위는 현재 `본인 확인 기관 심사기준에 대한 고시'를 제정중에 있으며 향후 휴대폰 인증을 통해서도 본인 확인이 가능하도록 하는 방안을 추진하고 있습니다. 또한, 아이핀의 편의성 개선, 오프라인 활용 방안 마련 등 아이핀 활성화도 추진할 계획입니다.
 
방통위에 따르면 주민번호 수집 웹사이트는 약 32만개(총 180만개 사이트)로, 이중 불필요하게 주민번호를 수집하는 웹사이트는 29만6000개로 추정되고 있습니다.


출처 :  KISA


Trackback 0 Comment 0